Guzano infecto a mas de 1 millon de Pcs con Guindos

16 01 2009

El susodicho guzanito bautizado con el nombre de “Downadup” el cual fue reportado en noviembre del 2008, se propaga aprovechando la vulnerabilidad del servidor de servicios RPC, que permite la ejecucion de comandos en forma remotaimages

Infecta a Windows 95/98/Me/NT/2000/XP/Vista Server 2003, está desarrollado en Assembler con una extensión de 62,976 bytes y comprimido con rutinas propias.

Una vez ingresado al sistema se copia a la siguiente ruta:

%System%\[nombre_aleatorio].dll 

Para ejecutarse la próxima vez que se re-inicie el sistema crea la llave de registro:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters]
"ServiceDll" = "[Ruta_al_gusano]"

Al siguiente inicio del equipo, el gusano borra cualquier punto de Restauración creado por el usuario y genera el siguiente servicio:
Este tambien  conecta a los siguientes URLs para obtener la dirección IP del sistema infectado:

http://www.getmyip.org
http://getmyip.co.uk
http://checkip.dyndns.org

Este ilustre producto intentará descargarse con otros programas maliciosos en los ordenadores infectados, por lo que F-Secure(Empresa Infectada) le está realizando un seguimiento especial.

Downadup genera cientos de posibles nombres de dominio al día usando un complejo algoritmo, según afirmó Mikko Hypponen (Jefe Sistemas en F-SURE), lo que hace que sea imposible y poco práctico tratar de cerrarlos todos.

Alguien dijo Migracion a GNU/Linux?

Saludos

Enlace> ComputerWord


Acciones

Information

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




A %d blogueros les gusta esto: